Se usó la API de Cloud Translation para traducir esta página.

Recopila registros del interruptor Aruba

Compatible con:

Google SecOps SIEM

Este analizador extrae campos de los mensajes de syslog del interruptor Aruba con patrones de grok y los asigna al modelo de UDM. Controla varios campos, como marcas de tiempo, nombres de host, nombres de aplicaciones, IDs de procesos, IDs de eventos y descripciones, y propaga los campos de la AUA relevantes. El tipo de evento se establece en función de la presencia de información principal.

Antes de comenzar

Asegúrate de tener una instancia de Google Security Operations.
Asegúrate de tener Windows 2016 o una versión posterior, o un host de Linux con systemd.
Si se ejecuta detrás de un proxy, asegúrate de que los puertos del firewall estén abiertos.
Asegúrate de tener acceso de administrador al interruptor Aruba.

Obtén el archivo de autenticación de transferencia de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Agentes de recopilación.
Descarga el archivo de autenticación de transferencia.

Obtén el ID de cliente de Google SecOps

Accede a la consola de Google SecOps.
Ve a Configuración de SIEM > Perfil.
Copia y guarda el ID de cliente de la sección Detalles de la organización.

Instala el agente de BindPlane

Para la instalación de Windows, ejecuta la siguiente secuencia de comandos:
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Para la instalación de Linux, ejecuta la siguiente secuencia de comandos:
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
Puedes encontrar opciones de instalación adicionales en esta guía de instalación.

Configura el agente de BindPlane para transferir Syslog y enviarlo a Google SecOps

Accede a la máquina en la que está instalado BindPlane.

Edita el archivo config.yaml de la siguiente manera:

  receivers:
      tcplog:
          # Replace the below port <54525> and IP <0.0.0.0> with your specific values
          listen_address: "0.0.0.0:54525" 

  exporters:
      chronicle/chronicle_w_labels:
          compression: gzip
          # Adjust the creds location below according the placement of the credentials file you downloaded
          creds: '{ json file for creds }'
          # Replace <customer_id> below with your actual ID that you copied
          customer_id: <customer_id>
          endpoint: malachiteingestion-pa.googleapis.com
          # You can apply ingestion labels below as preferred
          ingestion_labels:
          log_type: SYSLOG
          namespace: aruba_switch
          raw_log_field: body
  service:
      pipelines:
          logs/source0__chronicle_w_labels-0:
              receivers:
                  - tcplog
              exporters:
                  - chronicle/chronicle_w_labels

Reinicia el agente de BindPlane para aplicar los cambios:
```
sudo systemctl restart bindplane
```

Configura Syslog en el interruptor Aruba

Conéctate al interruptor Aruba a través de Console:
```
  ssh admin@<switch-ip>
```
Conéctate al interruptor Aruba a través de una interfaz web:
- Ve a la GUI web del interruptor Aruba.
- Autentícate con las credenciales de administrador del interruptor.
Habilita Syslog con la configuración de la CLI:
- Ingresa al modo de configuración global:
```
configure terminal
```
- Especifica el servidor syslog externo:
```
logging <bindplane-ip>:<bindplane-port>
```
- Reemplaza <bindplane-ip> y <bindplane-port> por la dirección de tu agente de bindplane.
Opcional: Establece el nivel de gravedad de registro:
```
  logging severity <level>
```
Nota: Los niveles de gravedad varían de 0 (emergencia) a 7 (depuración).
Opcional: Agrega un identificador (etiqueta) personalizado de la fuente de registros:
```
  logging facility local5
```
Guarda la configuración:
```
  write memory
```
Habilita Syslog con la configuración de la interfaz web:
- Accede a la interfaz web del interruptor Aruba.
- Ve a Sistema > Registros > Syslog.
- Agrega los parámetros del servidor de syslog:
- Ingresa la dirección IP de Bindplane.
- Ingresa el puerto de Bindplane.
- Establece el nivel de gravedad para controlar la verbosidad de los registros.
- Haz clic en Guardar.

Tabla de asignación de UDM

Campo de registro	Asignación de UDM	Lógica
`app`	`principal.application`	El valor del campo `app` del registro sin procesar se asigna directamente a `principal.application`.
`description`	`security_result.description`	El valor del campo `description` del registro sin procesar se asigna directamente a `security_result.description`.
`event_id`	`additional.fields.key`	La cadena "event_id" se asigna a `additional.fields.key`.
`event_id`	`additional.fields.value.string_value`	El valor del campo `event_id` del registro sin procesar se asigna directamente a `additional.fields.value.string_value`.
`host`	`principal.asset.hostname`	El valor del campo `host` del registro sin procesar se asigna directamente a `principal.asset.hostname`.
`host`	`principal.hostname`	El valor del campo `host` del registro sin procesar se asigna directamente a `principal.hostname`.
`pid`	`principal.process.pid`	El valor del campo `pid` del registro sin procesar se asigna directamente a `principal.process.pid`.
`ts`	`metadata.event_timestamp`	El valor del campo `ts` del registro sin procesar se convierte en una marca de tiempo y se asigna a `metadata.event_timestamp`. La marca de tiempo también se usa para el campo `timestamp` de nivel superior en la UDM. `metadata.event_type` se establece en "STATUS_UPDATE" porque la variable `principal_mid_present` se establece en "true" en el analizador cuando el campo `host` está presente en el registro sin procesar. La cadena "ARUBA_SWITCH" se asigna a `metadata.product_name` dentro del analizador. La cadena "ARUBA SWITCH" se asigna a `metadata.vendor_name` dentro del analizador. El analizador intenta extraer y analizar el usuario-agente del registro sin procesar con `client.userAgent.rawUserAgent`. Si se realiza correctamente, el usuario-agente analizado se asigna a `network.http.parsed_user_agent`. Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de la UDM esté vacío. El analizador intenta extraer el usuario-agente sin procesar del registro sin procesar con `client.userAgent.rawUserAgent`. Si se realiza correctamente, el usuario-agente sin procesar se asigna a `network.http.user_agent`. Sin embargo, como los registros sin procesar proporcionados no contienen este campo, es probable que este campo de la UDM esté vacío.

Cambios

2024-04-18

Sin embargo, el analizador se creó recientemente.